管理具有动态成员资格组规则的管理单元的用户或设备

1. 以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 选择要向其中添加用户或设备的管理单元。

3. 选择“属性”。

4. 在“成员身份类型”列表中，选择“动态用户”或“动态设备”，具体取决于要添加的规则类型。

   

5. 选择“添加动态查询”。

6. 使用规则生成器指定动态成员资格组规则。 有关详细信息，请参阅 Azure 门户中的规则生成器。

   

7. 完成后，选择“保存”以保存动态成员资格组规则。

8. 在“属性”页上，选择“保存”以保存成员身份类型和查询。

   将显示以下消息：

   更改管理单元类型后，现有成员资格可能会根据所提供的动态成员资格组规则进行更改。

9. 选择“是”，以继续操作。

有关如何编辑规则的步骤，请参阅以下 动态成员身份组的“编辑规则” 部分。

1. 创建动态成员资格组规则。 有关详细信息，请参阅 Microsoft Entra ID 中动态成员身份组的管理规则。

2. 使用 Connect-MgGraph 命令与已分配有特权角色管理员角色的用户Microsoft Entra ID 进行连接。

   Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
   

3. 使用 New-MgDirectoryAdministrativeUnit 命令，创建新的管理单元，并为动态成员身份组应用规则，使用以下参数：

   • MembershipType：Dynamic 或 Assigned
   • MembershipRule：上一步中创建的动态成员资格规则
   • MembershipRuleProcessingState：On 或 Paused

   # Create an administrative unit for users in the United States
   $params = @{
      displayName = "Example Admin Unit"
      description = "Example Dynamic Membership Admin Unit"
      membershipType = "Dynamic"
      membershipRule = "(user.country -eq 'United States')"
      membershipRuleProcessingState = "On"
   }
   
   New-MgDirectoryAdministrativeUnit -BodyParameter $params
   

1. 创建动态成员资格组规则。 有关详细信息，请参阅 Microsoft Entra ID 中组的动态成员身份规则。

2. 使用 Create administrativeUnit API 创建具有动态成员身份组规则的新管理单元。

   下面显示了适用于 Windows 设备的动态成员资格组规则的示例。

   请求

   POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
   

   正文

   {
     "displayName": "Windows Devices",
     "description": "All Contoso devices running Windows",
     "membershipType": "Dynamic",
     "membershipRule": "(deviceOSType -eq 'Windows')",
     "membershipRuleProcessingState": "On"
   }
   

1. 以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>角色和管理员>管理单元。

3. 选择具有要编辑的动态成员资格组规则的管理单元。

4. 选择 “成员身份”规则 ，以使用规则生成器编辑动态成员身份组的规则。

   

   还可以通过在左侧导航中选择“动态成员资格规则”来打开规则生成器。

5. 完成后，选择“ 保存” 以保存动态成员身份组规则更改。

使用 Update-MgDirectoryAdministrativeUnit 命令编辑动态成员身份组规则。

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

使用 Update administrativeUnit API 编辑动态成员身份组的规则。

请求

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

正文

{
  "membershipRule": "(user.country -eq "Germany")"
}

1. 以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>角色和管理员>管理单元。

3. 选择要更改分配的管理单元。

4. 选择“属性”。

5. 在“成员身份类型”列表中，选择“已分配”。

   

6. 选择“保存”以保存成员身份类型。

   将显示以下消息：

   更改管理单元类型后，将不再处理动态规则。 当前管理单元成员将保留在管理单元中，并且管理单元将具有分配的成员身份。

7. 选择“是”，以继续操作。

   如果成员身份类型设置从动态更改为已分配，则当前成员将在管理单元中保持不变。 此外，还会启用将组添加到管理单元的功能。

使用 Update-MgDirectoryAdministrativeUnit 命令编辑动态成员身份组的规则。

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

使用 Update managementUnit API 更改成员身份类型设置。

请求

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

正文

{
  "membershipType": "Assigned"
}